Black Hat

Black Hat 2014 Durch die statistische Analyse des Netzwerkverkehrs eines verschlüsselten SSH-Tunnels gelang es Forschern, Rückschlüsse auf das verwendete Programm zu ziehen. Das entsprechende Tool wurde samt Quellcode veröffentlicht.

Black Hat 2014 In den vergangenen Jahren gab es verschiedene Projekte, die den gesamten IP-Adressraum im Internet scannten. Das Projekt Sonar will nun regelmäßig derartige Scans durchführen.

Black Hat 2014 Antoine Delignat-Lavaud präsentierte auf der Black Hat 2014 mehrere neue Sicherheitsprobleme in HTTPS, die zum Großteil auf bekannten Schwächen basieren. Es sind Ergebnisse eines Forschungsprojekts, das versucht, die Sicherheit von TLS mathematisch zu formalisieren.

Black Hat 2014 Durch Manipulation der Firmware in USB-Geräten lassen sich diese beliebig umfunktionieren und als Malware-Schleuder, Tastatur oder Netzwerkkarte nutzen. Bislang gibt es keine Abwehrmöglichkeiten.

Black Hat 2014 Ein Angriff auf das Tor-Netzwerk ist fast ein halbes Jahr unentdeckt geblieben und könnte Nutzer der Hidden Services enttarnt haben. Wer dahinter steckt, ist unklar.

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Black Hat 2014 Android prüft nur unzureichend die mit Apps installierten Zertifikate. Dadurch können sich bösartige Apps Zugriff auf Systemkomponenten verschaffen, die ihnen eigentlich verwehrt sind.

In der Linux-Distribution Tails befindet sich eine Sicherheitslücke, über die Nutzeridentitäten aufgedeckt werden können. Die Schwachstelle ist nicht in Tor, sondern im Invisible-Internet-Project-Netzwerk zu finden.

Erneut haben Sicherheitsforscher entdeckt, dass von Anwendern besuchte Links ausgelesen werden können. Dabei kommt das Javascript-API requestAnimationFrame zum Einsatz.

Die Vereinigten Staaten wollen offenbar verhindern, dass Chinesen an den IT-Sicherheitskonferenzen Black Hat und Def Con in Las Vegas teilnehmen. Ihnen soll die Ausstellung des Visums verweigert werden.

Zwei Sicherheitsexperten aus Südafrika haben einen Schnüffelquadrocopter entwickelt: Er verbindet sich per WLAN mit einem Mobilgerät und spioniert es aus.

Sein plötzlicher Tod hat Anlass für Spekulationen und Verschwörungstheorien gegeben. Nun liegt der Autopsie-Bericht zur Todesursache von Hacker Barnaby Jack vor.

Die Spitze des US-Militärgeheimdienstes NSA will einem Medienbericht zufolge demnächst aufhören. Das könnte US-Präsident Obama Spielraum geben, den Dienst neu zu organisieren.

Der Hersteller der Trojaner- und Spionagesoftware Finfisher wirbt damit, dass seine Software auch SSL-Verbindungen abhören kann. Als neuer Mitarbeiter wird der Backtrack-Gründer Martin Johannes Münch vorgestellt.

Der NSA-Chef Keith Alexander hat auf der Hackerkonferenz Black Hat in seiner Keynote-Ansprache seinen Geheimdienst verteidigt. Die Hacker sollen dabei helfen, die Arbeit der NSA zu verbessern.

Ein Netzteil birgt unerwartete Gefahren für iOS-Benutzer. Darüber kann unautorisiert Software auf dem iPhone oder iPad installiert werden. Das haben Forscher auf der Black-Hat-Konferenz demonstriert. Apple bietet erst ab iOS7 einen Abwehrmechanismus.

Der berühmte Hacker Barnaby Jack lebt nicht mehr. Der durch seine Hacks von Geldautomaten, Insulinpumpen und Herzschrittmachern bekannte Jack plante eine weitere große Enthüllung. Seine Todesursache ist unbekannt.

Der SIM-Karten-Hersteller Giesecke & Devrient versichert, dass kommerzielle SIM-Karten mit dem G&D-eigenen Betriebssystem sicher sind. Selbst im Ausland seien deutsche Nutzer sicher, teilte Vodafone mit.

Millionen SIM-Karten weltweit sind auf Grund schwacher Verschlüsselung und fehlerhafter Software unsicher. Das hat der Sicherheitsexperte Karsten Nohl herausgefunden.

Der im Juli 2012 bekanntgewordene Hack von elektronischen Schlössern der Marke Onity wird von Kriminellen in den USA für Einbrüche genutzt. Eine technische Lösung gibt es bereits, sie wird aber noch nicht von allen Hotels eingesetzt.

Die Sicherheitslücke der Schlösser von Onity, die bei Hoteltüren eingesetzt werden, soll bald geschlossen werden. Der Hersteller verlangt für die Schließung der Lücke von den Hotels allerdings Geld - für einen mechanischen Verschluss des Ports hingegen nicht.

Mit einem Cloud-Dienst sollen sich innerhalb von 24 Stunden MS-CHAPv2-Passwörter knacken lassen, die mit DES verschlüsselt sind. Dazu werden 48 integrierte Schaltkreise, sogenannte FPGAs, verwendet.

Cody Brocious kann aus seiner Zeit bei dem Startup Unified Platform Management mit seinem Arduino Hoteltüren mit elektronischen Schlüsselkarten öffnen. Er hatte dort per Reverse Engineering die Schlösser von Onity nachgebaut.

Update Google wird in den kommenden Tagen ein größeres Update an seinem Suchalgorithmus vornehmen, um Webspam zu bekämpfen. Websites, die auf solche "Black-Hat-SEO-Maßnahmen" setzen, sollen in den Suchergebnissen weiter nach hinten rutschen.

Ein Sicherheitsexperte hat auf der Black-Hat-Konferenz auf Sicherheitslücken bei Medizintechnik hingewiesen: Er konnte per Funk aus größerer Entfernung die Kontrolle über medizinische Geräte für Diabetespatienten übernehmen.

Mobilfunkmodule in GPS-Geräten mit GSM-Einheit oder Autos sind anfällig für GSM-Angriffe. Das haben die Sicherheitsexperten Don Bailey und Matthew Solnik auf der Konferenz Black Hat demonstriert und warnen: Auch wichtige Industrieanlagen sind gefährdet.

Steuerungssysteme, die über das Internet erreichbar und noch nicht einmal mit einem Passwort geschützt sind: US-Sicherheitsexperten haben auf der Black-Hat-Konferenz auf gravierende Sicherheitsmängel bei kritischen Infrastrukturen hingewiesen.

Der Zugriff auf die von Windows-Geräten gelieferten Bewegungsdaten über die Dienste von live.com ist US-Berichten zufolge nicht mehr möglich. Wie die Daten per Internet ausgelesen werden konnten, ist derweil immer noch nicht erklärt.

US-Berichten zufolge sammeln Smartphones mit Windows Phone 7 ständig ortsbezogene Daten über WLANs und übermitteln sie an Microsoft. Diese Daten sind auch von außen zugänglich, so dass sich Bewegungsprofile von Anwendern erstellen lassen.

Sicherheitsexperte Charlie Miller hat eine Schwachstelle in Akkus von Apple entdeckt. Darüber ist es möglich, die Akkus in einen defekten Zustand zu versetzen. Die Darstellungen in einigen US-Medien über die Auswirkungen sind jedoch übertrieben, stellt Miller per Twitter klar.

Jan Schejbal kritisiert, dass beim Zensus 2011 laut Musterfragebogen die Verbindung per unverschlüsseltem HTTP aufgebaut wird. Die Zensuskommission nehme Sicherheit offenbar nicht ernst, sagt Schejbal.

Auf der Sicherheitskonferenz Black Hat haben Forscher auf ein recht offensichtliches Problem des Universal Serial Bus in drastischer Form hingewiesen. Nach dem Anschluss eines Smartphones an einen PC mit einem vermeintlich harmlosen USB-Kabel wurde der Rechner ferngesteuert.

Adobe hat den angekündigten Patch für die PDF-Applikationen Reader und Acrobat veröffentlicht. Neben dem auf der Black Hat bekanntgewordenen Sicherheitsloch beseitigt der Patch ein zweites Sicherheitsleck. Beide Sicherheitslücken können zur Codeausführung missbraucht werden.

Adobe veröffentlicht erst am 19. August 2010 einen Sicherheitspatch für den Adobe Reader und für Acrobat. Der außerplanmäßige Patch wurde bereits für diese Woche angekündigt, ein genaues Datum war aber noch nicht bekannt.

Auf der US-Sicherheitskonferenz Black Hat wurde ein Sicherheitsloch im Adobe Reader und in Acrobat enthüllt. Adobe will in der Woche ab 16. August 2010 ein außerplanmäßiges Update veröffentlichen, um das Sicherheitsleck zu schließen.

Der Kryptographie-Spezialist und Hacker Karsten Nohl hat bei der Sicherheitskonferenz Black Hat gezeigt, wie sich GSM-Telefonate mit Standardhardware entschlüsseln lassen. Die entsprechende Software stellt seine Berliner Firma Security Research Labs frei zur Verfügung.

Es ist möglich, ein WPA2-geschütztes WLAN von innen zu kompromittieren, ohne den Schlüssel zu knacken. Das Unternehmen Airtight Security will die Hole196 genannte Sicherheitslücke auf den Sicherheitskonferenzen Black Hat und Defcon demonstrieren.

Die aktuelle Version 1.5 der Linux-Distribution Damn Vulnerable Linux - Codename Infectious Disease - bietet ein vollkommen unsicheres System mit kaputten Anwendungen, an dem sich Hacker-Lehrlinge austoben können. Beigelegte Anleitungen informieren angehende Sicherheitsexperten über Buffer-Overflows, Shellcode-Entwicklung, Web-Exploits oder SQL-Injection.

Diverse Heimrouter enthalten eine Sicherheitslücke, die sie anfällig für eine neue Form von DNS Rebinding-Angriffen machen. Der Sicherheitsexperte Craig Heffner will bei der Black-Hat-Konferenz eine Software veröffentlichen, die die Schwachstelle in verschiedenen, weitverbreiteten Modellen ausnutzt.

Opfer des Angriffs ist TPM von Infineon. Absolute Sicherheit gibt es nicht. Diese Binsenweisheit hat sich wieder einmal bestätigt, als ein US-Forscher auf der Black-Hat-Konferenz in Washington demonstrierte, wie er einem Trusted Platform Module von Infineon seine Geheimnisse entlockte.

Sicherheitskonferenz Blackhat kündigt sich an. Jorge Luis Alvarez Medina will auf der Blackhat-Sicherheitskonferenz Anfang Februar 2010 eine neue Sicherheitslücke im Internet Explorer präsentieren. Sie ermöglicht es einem Angreifer, den Internet Explorer in einen Dateiserver zu verwandeln, heißt es in der Ankündigung.

Kein Patch von Apple vorhanden. Auf der vergangenen Blackhat-Konferenz in Las Vegas hat K. Chen dem Publikum mit einer Machbarkeitsstudie demonstriert, wie eine Tastatur von Apple dazu missbraucht werden kann, Tastatureingaben zu protokollieren.